Ένας χάκερ έκλεψε τα μηνύματα, τα αρχεία καταγραφής κλήσεων και τις τοποθεσίες που υποκλέπτονται από μια ευρέως χρησιμοποιούμενη εφαρμογή παρακολούθησης τηλεφώνων που ονομάζεται LetMeSpy, σύμφωνα με την εταιρεία που κατασκευάζει το κατασκοπευτικό αυτό λογισμικό. Η εφαρμογή παρακολούθησης τηλεφώνων, η οποία χρησιμοποιείται για την κατασκοπεία χιλιάδων ανθρώπων που χρησιμοποιούν τηλέφωνα Android σε όλο τον κόσμο, ανέφερε σε μια ανακοίνωση στη σελίδα σύνδεσής της ότι στις 21 Ιουνίου "συνέβη ένα περιστατικό ασφαλείας που αφορούσε την απόκτηση μη εξουσιοδοτημένης πρόσβασης στα δεδομένα των χρηστών του ιστότοπου".

"Ως αποτέλεσμα της επίθεσης, οι εγκληματίες απέκτησαν πρόσβαση σε διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου και το περιεχόμενο των μηνυμάτων που συλλέγονται στους λογαριασμούς", αναφέρεται στην ανακοίνωση.

Το LetMeSpy είναι ένα είδος εφαρμογής παρακολούθησης τηλεφώνου που διατίθεται στο εμπόριο για γονικό έλεγχο ή παρακολούθηση εργαζομένων. Η εφαρμογή είναι επίσης ειδικά σχεδιασμένη ώστε να παραμένει κρυμμένη, καθιστώντας δύσκολο τον εντοπισμό και την αφαίρεσή της. Γνωστές και ως stalkerware ή spouseware, αυτού του είδους οι εφαρμογές παρακολούθησης τηλεφώνου συχνά φυτεύονται από κάποιον - όπως οι σύζυγοι ή οι σύντροφοι - με φυσική πρόσβαση στο τηλέφωνο ενός ατόμου, χωρίς τη συγκατάθεση ή γνώση του.

Μόλις εγκατασταθεί, το LetMeSpy μεταφορτώνει σιωπηλά τα μηνύματα κειμένου του τηλεφώνου, τα αρχεία καταγραφής κλήσεων και τα ακριβή δεδομένα θέσης στους διακομιστές του, επιτρέποντας στο άτομο που εγκατέστησε την εφαρμογή να παρακολουθεί το άτομο σε πραγματικό χρόνο.

Για το βαθύ επίπεδο πρόσβασής τους στο τηλέφωνο ενός ατόμου, αυτές οι εφαρμογές παρακολούθησης είναι διαβόητα προβληματικές και γνωστές για τα υποτυπώδη μέτρα ασφαλείας, με αμέτρητες εφαρμογές κατασκοπείας κατά τη διάρκεια των ετών να παραβιάζονται και να διαρρέουν ή να εκθέτουν τα προσωπικά δεδομένα τηλεφώνου που έχουν κλαπεί από ανυποψίαστα θύματα.

Το LetMeSpy δεν διαφέρει και πολύ.

Το πολωνικό ιστολόγιο έρευνας ασφάλειας Niebezpiecznik ανέφερε πρώτο την παραβίαση. Όταν το Niebezpiecznik επικοινώνησε μέσω email με τον κατασκευαστή του spyware για σχόλια, έλαβαν απάντηση από τον χάκερ , ο οποίος ισχυρίστηκε ότι έχει πλήρη πρόσβαση στο domain της εταιρίας. Δεν είναι σαφές ποιος κρύβεται πίσω από το hack του LetMeSpy ή τα κίνητρά του. Ο χάκερ άφησε να εννοηθεί ότι διέγραψε τις βάσεις δεδομένων του LetMeSpy που ήταν αποθηκευμένες στον διακομιστή. Ένα αντίγραφο της χακαρισμένης βάσης δεδομένων εμφανίστηκε επίσης στο διαδίκτυο αργότερα την ίδια ημέρα.

Το DDoSecrets, μια μη κερδοσκοπική συλλογικότητα διαφάνειας που ευρετηριάζει σύνολα δεδομένων που διέρρευσαν προς το δημόσιο συμφέρον, απέκτησε ένα αντίγραφο των δεδομένων του χακαρισμένου LetMeSpy και το μοιράστηκε με το TechCrunch. Το DDoSecrets δήλωσε ότι περιορίζει τη διανομή των δεδομένων σε δημοσιογράφους και ερευνητές, δεδομένου του όγκου των προσωπικών πληροφοριών που περιέχονται στην κρυφή μνήμη.

Το TechCrunch εξέτασε τα δεδομένα που διέρρευσαν, τα οποία περιλάμβαναν αρχεία καταγραφής κλήσεων και μηνύματα κειμένου των θυμάτων που χρονολογούνται από το 2013. Η βάση δεδομένων που εξετάσαμε περιείχε τρέχοντα αρχεία για τουλάχιστον 13.000 συσκευές που έχουν παραβιαστεί, αν και ορισμένες από τις συσκευές μοιράστηκαν ελάχιστα ή καθόλου δεδομένα με το LetMeSpy. (Η LetMeSpy ισχυρίζεται ότι διαγράφει τα δεδομένα μετά από δύο μήνες αδράνειας του λογαριασμού).

Τον Ιανουάριο, ο ιστότοπος της LetMeSpy ανέφερε ότι το κατασκοπευτικό λογισμικό της χρησιμοποιήθηκε για την παρακολούθηση πάνω από 236.000 συσκευών και συνέλεξε δεκάδες εκατομμύρια αρχεία καταγραφής κλήσεων, μηνύματα κειμένου και σημεία δεδομένων θέσης μέχρι σήμερα. Τη στιγμή που γράφονταν αυτές οι γραμμές, οι μετρητές του ιστότοπου έδειχναν μηδέν. Μεγάλο μέρος της λειτουργικότητας του ιστότοπου φαίνεται επίσης να έχει "σπάσει", συμπεριλαμβανομένης της ίδιας της εφαρμογής spyware. Το TechCrunch ανέλυσε την κίνηση δικτύου της τηλεφωνικής εφαρμογής LetMeSpy, η οποία έδειξε ότι η εφαρμογή φαινόταν να μην λειτουργεί τη στιγμή που γράφονταν αυτές οι γραμμές.

Η βάση δεδομένων περιείχε επίσης πάνω από 13.400 σημεία δεδομένων τοποθεσίας για αρκετές χιλιάδες θύματα. Τα περισσότερα από τα σημεία δεδομένων τοποθεσίας είναι επικεντρωμένα πάνω από πληθυσμιακά hotspots, γεγονός που υποδηλώνει ότι η πλειοψηφία των θυμάτων βρίσκεται στις Ηνωμένες Πολιτείες, την Ινδία και τη Δυτική Αφρική. Τα δεδομένα περιείχαν επίσης την κύρια βάση δεδομένων του spyware, συμπεριλαμβανομένων πληροφοριών σχετικά με 26.000 πελάτες που χρησιμοποίησαν το spyware δωρεάν και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των πελατών που αγόρασαν συνδρομές επί πληρωμή.

στιγμιότυπο οθόνης ενός παγκόσμιου χάρτη που δείχνει τα σημεία δεδομένων θέσης των θυμάτων σε ομάδες γύρω από τις ΗΠΑ, την Ινδία και τμήματα της Αφρικής.
 

Τα δεδομένα περιείχαν επίσης την κύρια βάση δεδομένων του spyware, συμπεριλαμβανομένων πληροφοριών σχετικά με 26.000 πελάτες που χρησιμοποιούσαν το spyware δωρεάν και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των πελατών που αγόραζαν συνδρομές επί πληρωμή.

Δεν είναι ασυνήθιστο για τους κατασκευαστές κατασκοπευτικού λογισμικού, συμπεριλαμβανομένου του LetMeSpy, να κρατούν τις πραγματικές ταυτότητες των προγραμματιστών τους μακριά από τη δημόσια θέα, συχνά ως ένας τρόπος για να θωρακιστούν από την κακή φήμη και τους νομικούς κινδύνους που συνεπάγεται η διευκόλυνση της μεγάλης κλίμακας μυστικής παρακολούθησης τηλεφώνων, η οποία θεωρείται έγκλημα σε πολλές χώρες. Ωστόσο, οι πληροφορίες στη βάση δεδομένων που διέρρευσε δείχνουν ότι το LetMeSpy κατασκευάζεται και συντηρείται από έναν Πολωνό προγραμματιστή που ονομάζεται Rafal Lidwin, με έδρα την Κρακοβία. Ο Lidwin δεν απάντησε σε πολλαπλά αιτήματα για σχόλια.

Η LetMeSpy ανέφερε στην ειδοποίηση παραβίασης ότι είχε ενημερώσει τις διωκτικές αρχές και την πολωνική αρχή προστασίας δεδομένων UODO. Ο Adam Sanocki, εκπρόσωπος της UODO, επιβεβαίωσε στο TechCrunch ότι είχε λάβει την ειδοποίηση της LetMeSpy. Δεν είναι σαφές αν η LetMeSpy θα ειδοποιήσει τα θύματα των οποίων τα τηλέφωνα παραβιάστηκαν και κατασκοπεύτηκαν, ή ακόμη και αν η εταιρεία έχει τη δυνατότητα να το πράξει. Ενώ στο παρελθόν ήταν δυνατό για τα θύματα να ελέγξουν μόνα τους αν τα δεδομένα τους είχαν παραβιαστεί, τα δεδομένα της LetMeSpy που διέρρευσαν δεν περιέχουν αναγνωρίσιμες πληροφορίες που θα μπορούσαν να χρησιμοποιηθούν για την ειδοποίηση των θυμάτων.

Το LetMeSpy είναι το τελευταίο σε μια μακρά λίστα εφαρμογών κατασκοπείας και παρακολούθησης τηλεφώνων που έχουν παραβιαστεί ή παραβιαστεί ή έχουν εκθέσει τα δεδομένα των θυμάτων τα τελευταία χρόνια. Μερικές τέτοιες εφαρμογές είναι οι: Xnspy, KidsGuard και TheTruthSpy και Support King.

Η ASUS κυκλοφόρησε νέο firmware με σωρευτικές ενημερώσεις ασφαλείας που αντιμετωπίζουν ευπάθειες σε πολλά μοντέλα router, προειδοποιώντας τους πελάτες να ενημερώσουν άμεσα τις συσκευές τους ή να περιορίσουν την πρόσβαση στο WAN μέχρι να αναβαθμίσουν.

Όπως εξηγεί η εταιρεία, το νεοκυκλοφορηθέν firmware περιέχει διορθώσεις για εννέα κενά ασφαλείας. Οι πιο σοβαρές από αυτές εντοπίζονται ως CVE-2022-26376 και CVE-2018-1160. Η πρώτη είναι μια κρίσιμη αδυναμία διαφθοράς μνήμης στο υλικολογισμικό Asuswrt για τους δρομολογητές Asus που θα μπορούσε να επιτρέψει σε επιτιθέμενους να προκαλέσουν καταστάσεις άρνησης παροχής υπηρεσιών ή να αποκτήσουν δικαιώματα εκτέλεσης κώδικα. Η άλλη κρίσιμη επιδιόρθωση αφορά ένα σχεδόν πέντε ετών σφάλμα CVE-2018-1160 που προκαλείται από μια αδυναμία, η οποία μπορεί επίσης να αξιοποιηθεί για την απόκτηση εκτέλεσης αυθαίρετου κώδικα σε συσκευές χωρίς επιδιόρθωση.

Σημειώστε, εάν επιλέξετε να μην εγκαταστήσετε αυτή τη νέα έκδοση υλικολογισμικού, συνιστούμε να απενεργοποιήσετε τις υπηρεσίες που είναι προσβάσιμες από την πλευρά WAN για να αποφύγετε πιθανές ανεπιθύμητες εισβολές. Αυτές οι υπηρεσίες περιλαμβάνουν απομακρυσμένη πρόσβαση από το WAN, προώθηση θυρών, DDNS, διακομιστή VPN, DMZ, ενεργοποίηση θυρών. Σας ενθαρρύνουμε έντονα να ελέγχετε περιοδικά τόσο τον εξοπλισμό σας όσο και τις διαδικασίες ασφαλείας σας, καθώς αυτό θα διασφαλίσει ότι θα είστε καλύτερα προστατευμένοι

δημοσίευσε η ASUS σήμερα.

Ο κατάλογος των συσκευών που επηρεάζονται περιλαμβάνει τα ακόλουθα μοντέλα: GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 και TUF-AX5400.

Οι πελάτες καλούνται να επιδιορθώσουν αμέσως

Η ASUS προειδοποίησε τους χρήστες των επηρεαζόμενων δρομολογητών να τους ενημερώσουν το συντομότερο δυνατό με το πιο πρόσφατο firmware, το οποίο είναι διαθέσιμο μέσω της ιστοσελίδας υποστήριξης, της σελίδας κάθε προϊόντος ή μέσω των συνδέσμων που παρέχονται στο σημερινό συμβουλευτικό δελτίο τύπου. Η εταιρεία συνιστά επίσης τη δημιουργία ξεχωριστών κωδικών πρόσβασης για τις σελίδες διαχείρισης του ασύρματου δικτύου και του δρομολογητή με τουλάχιστον οκτώ χαρακτήρες (συνδυάζοντας κεφαλαία γράμματα, αριθμούς και σύμβολα) και την αποφυγή χρήσης του ίδιου κωδικού πρόσβασης για πολλές συσκευές ή υπηρεσίες.

Η ενημέρωση ασφαλείας για  Windows 11 22H2 με κωδικό KB5027231 που κυκλοφόρησε κατά τη διάρκεια της Patch Tuesday αυτού του μήνα δημιουργεί πρόβλημα στον Google Chrome σε συστήματα που προστατεύονται από τις λύσεις Cisco και WatchGuard EDR και antivirus. Όπως ανέφερε το BleepingComputer την Τετάρτη, διαχειριστές και χρήστες των Windows αναφέρουν ότι αντιμετωπίζουν προβλήματα με την εκκίνηση του προγράμματος περιήγησης ιστού μετά την εγκατάσταση των ενημερώσεων KB5027231 των Windows 11. Παρόλο που η απεγκατάσταση της προβληματικής ενημέρωσης των Windows 11 θα έπρεπε να επιλύσει το πρόβλημα, οι διαχειριστές των Windows που το δοκίμασαν αναφέρουν ότι είναι αδύνατη μέσω του WSUS λόγω ενός "καταστροφικού σφάλματος" (catastrophic error).

Έβαλα το KB5027231 σε ένα σωρό χρήστες και έχω το Chrome σπασμένο παντού. Η προσπάθεια επαναφοράς μέσω wusa δείχνει ένα 'καταστροφικό σφάλμα' στο Event Viewer και το WSUS δείχνει ότι δεν μπορώ να το επαναφέρω, δήλωσε ένας διαχειριστής των Windows

Η Malwarebytes έχει ήδη επιβεβαιώσει ότι αυτό το γνωστό πρόβλημα επηρεάζει τους πελάτες που χρησιμοποιούν τα προϊόντα anti-malware της λόγω ενός προβλήματος της μονάδας anti-exploit και συμβούλεψε τους επηρεαζόμενους χρήστες να απενεργοποιήσουν το Google Chrome ως προστατευόμενη εφαρμογή.

Στις 13 Ιουνίου 2023, η ενημερωμένη έκδοση KB5027231 της Microsoft που εγκαταστάθηκε στα Windows 11 προκάλεσε σύγκρουση μεταξύ του Google Chrome και της προστασίας από exploit, με αποτέλεσμα την κατάρρευση του προγράμματος περιήγησης, δήλωσε η Malwarebytes.

Παρόλο που οι επηρεαζόμενοι χρήστες δεν θα δουν το περιβάλλον εργασίας του Google Chrome αφού επιχειρήσουν να ανοίξουν την εφαρμογή, η διαδικασία εκτελείται στο παρασκήνιο, αλλά δεν θα φορτώσει το περιβάλλον εργασίας χρήστη λόγω της σύγκρουσης.

Οι χρήστες της Cisco και της WatchGuard αντιμετωπίζουν επίσης προβλήματα με την εκκίνηση του Chrome
Από την Τετάρτη, οι χρήστες της WatchGuard και της Cisco Secure Endpoint άρχισαν επίσης να αναφέρουν ότι το Google Chrome δεν θα ξεκινήσει μετά την εγκατάσταση των αθροιστικών ενημερώσεων της Patch Tuesday του Ιουνίου 2023.

Αναπτύσσουμε το Secure Endpoint 8.1.7 στις μερικές χιλιάδες συσκευές μας και αρχίσαμε να λαμβάνουμε ένα βουνό από αναφορές σήμερα το πρωί ότι το Google Chrome δεν εμφανιζόταν στην οθόνη μετά από προσπάθεια ανοίγματος, δήλωσε ένας διαχειριστής

Αναφορές λένε ότι η διακοπή της υπηρεσίας Secure Endpoint ή η απεγκατάσταση του Secure Endpoint επιτρέπει στο Chrome να ανοίξει ξανά. Με βάση τις αναφορές των χρηστών, η μηχανή Exploit Prevention της Cisco Secure Endpoint είναι επίσης η μονάδα που εμποδίζει την εκκίνηση του προγράμματος περιήγησης ιστού. Το προσωπικό της WatchGuard επιβεβαίωσε επίσης την Παρασκευή ότι το Google Chrome δεν ανοίγει στα Windows 11 μετά την εγκατάσταση του KB5027231, εάν η προστασία anti-exploit είναι ενεργοποιημένη στο λογισμικό Endpoint Security της εταιρείας.

Συνιστάται στους πελάτες της Cisco και της WatchGuard να απενεργοποιήσουν την προστασία anti-exploit από τις ρυθμίσεις του λογισμικού ασφαλείας τους ή να ορίσουν το Chrome ως προεπιλεγμένο πρόγραμμα περιήγησης ιστού από τις Ρυθμίσεις > Επιλογή προεπιλεγμένου προγράμματος περιήγησης. Μια άλλη πιθανή παράκαμψη που μπορεί να βοηθήσει στην αντιμετώπιση αυτού του προβλήματος απαιτεί από τους επηρεαζόμενους χρήστες να ορίσουν το Google Chrome ως προεπιλεγμένο πρόγραμμα περιήγησης στο σύστημά τους.

Η Clop, η συμμορία ransomware που ευθύνεται για την εκμετάλλευση μιας κρίσιμης ευπάθειας ασφαλείας σε ένα δημοφιλές εταιρικό εργαλείο μεταφοράς αρχείων, έχει αρχίσει να απαριθμεί τα θύματα των μαζικών επιθέσεων, συμπεριλαμβανομένων πολλών αμερικανικών τραπεζών και πανεπιστημίων.

Η συμμορία ransomware που συνδέεται με τη Ρωσία εκμεταλλεύεται το κενό ασφαλείας στο MOVEit Transfer, από τα τέλη Μαΐου. To MOVEit Transfer είναι ένα εργαλείο που χρησιμοποιείται από εταιρείες και επιχειρήσεις για την κοινή χρήση μεγάλων αρχείων μέσω του διαδικτύου. Η Progress Software, η οποία αναπτύσσει το λογισμικό MOVEit, επιδιόρθωσε την ευπάθεια - αλλά όχι προτού οι χάκερς θέσουν σε κίνδυνο έναν αριθμό πελατών της.

Ενώ ο ακριβής αριθμός των θυμάτων παραμένει άγνωστος, η Clop την Τετάρτη απαρίθμησε την πρώτη παρτίδα οργανισμών που λέει ότι παραβίασε εκμεταλλευόμενη το ελάττωμα του MOVEit. Ο κατάλογος των θυμάτων, ο οποίος αναρτήθηκε στον  στο δικτυακό τόπο της Clop στο dark web, περιλαμβάνει οργανισμούς χρηματοπιστωτικών υπηρεσιών με έδρα τις ΗΠΑ, την 1st Source και την First National Bankers Bank, την εταιρεία διαχείρισης επενδύσεων Putnam Investments με έδρα τη Βοστώνη, την ολλανδική Landal Greenparks και τον βρετανικό ενεργειακό γίγαντα Shell. Η GreenShield Canada, ένας μη κερδοσκοπικός φορέας παροχών που παρέχει παροχές υγείας και οδοντιατρικές παροχές, περιλαμβανόταν στον ιστότοπο διαρροής, αλλά έκτοτε έχει αφαιρεθεί. Άλλα θύματα που αναφέρονται είναι ο πάροχος χρηματοοικονομικού λογισμικού Datasite, η εκπαιδευτική μη κερδοσκοπική εταιρεία National Student Clearinghouse, ο πάροχος φοιτητικής ασφάλισης υγείας United Healthcare Student Resources, ο αμερικανικός κατασκευαστής Leggett & Platt, η ελβετική ασφαλιστική εταιρεία ÖKK και το Πανεπιστημιακό Σύστημα της Γεωργίας (USG). Εκπρόσωπος του USG, ο οποίος δεν έδωσε το όνομά του, δήλωσε στο TechCrunch ότι το πανεπιστήμιο "αξιολογεί το εύρος και τη σοβαρότητα αυτής της πιθανής έκθεσης δεδομένων. Εάν είναι απαραίτητο, σύμφωνα με την ομοσπονδιακή και πολιτειακή νομοθεσία, θα εκδοθούν ειδοποιήσεις σε τυχόν άτομα που επηρεάζονται". Ο Florian Pitzinger, εκπρόσωπος της γερμανικής εταιρείας μηχανολόγων μηχανικών Heidelberg, την οποία η Clop ανέφερε ως θύμα, δήλωσε στο TechCrunch σε δήλωσή του ότι η εταιρεία "γνωρίζει πολύ καλά την αναφορά της στον ιστότοπο Tor του Clop και το περιστατικό που συνδέεται με ένα λογισμικό προμηθευτή". Ο εκπρόσωπος πρόσθεσε ότι "το περιστατικό συνέβη πριν από μερικές εβδομάδες, αντιμετωπίστηκε γρήγορα και αποτελεσματικά και με βάση την ανάλυσή μας δεν οδήγησε σε παραβίαση δεδομένων".

Η Clop, η οποία, όπως και άλλες συμμορίες ransomware, συνήθως επικοινωνεί με τα θύματά της για να απαιτήσει την καταβολή λύτρων για να αποκρυπτογραφήσει ή να διαγράψει τα κλεμμένα αρχεία τους, αυτή τη φορά δεν επικοινώνησε με τους οργανισμούς που είχε παραβιάσει. Αντ' αυτού, απάντησαν μαζικά με ένα μήνυμα που αναρτήθηκε στον ιστότοπο της συμμορίας στο dark web, με το οποίο ενημέρωσαν τα θύματα να επικοινωνήσουν πριν από την προθεσμία της 14ης Ιουνίου. Ακόμα δεν έχουν δημοσιευθεί κλεμμένα δεδομένα κατά τη στιγμή της συγγραφής του παρόντος, αλλά η Clop λέει στα θύματα ότι έχει κατεβάσει "πολλά από τα δεδομένα σας".

Πολλοί οργανισμοί έχουν αποκαλύψει προηγουμένως ότι εκτέθηκαν σε κίνδυνο ως αποτέλεσμα των επιθέσεων, όπως το BBC, η Aer Lingus και η British Airways. Όλοι αυτοί οι οργανισμοί επηρεάστηκαν επειδή βασίζονται στον προμηθευτή λογισμικού ανθρώπινου δυναμικού και μισθοδοσίας Zellis, ο οποίος επιβεβαίωσε ότι το σύστημα MOVEit του είχε παραβιαστεί. Η κυβέρνηση της Νέας Σκωτίας, η οποία χρησιμοποιεί το MOVEit για την κοινή χρήση αρχείων μεταξύ των υπηρεσιών, επιβεβαίωσε επίσης ότι επηρεάστηκε και ανέφερε σε ανακοίνωσή της ότι ενδέχεται να έχουν τεθεί σε κίνδυνο οι προσωπικές πληροφορίες ορισμένων πολιτών. Ωστόσο, σε ένα μήνυμα στον ιστότοπό της συμμορίας, αναφέρει ότι "αν είστε κυβέρνηση, πόλη ή αστυνομική υπηρεσία... σβήσαμε όλα τα δεδομένα σας".

Το Πανεπιστήμιο Johns Hopkins επιβεβαίωσε αυτή την εβδομάδα ένα περιστατικό κυβερνοασφάλειας που πιστεύεται ότι σχετίζεται με τη μαζική εισβολή στο MOVEit. Σε ανακοίνωσή του, το πανεπιστήμιο ανέφερε ότι η παραβίαση δεδομένων "ενδέχεται να έχει επηρεάσει ευαίσθητες προσωπικές και οικονομικές πληροφορίες", συμπεριλαμβανομένων ονομάτων, στοιχείων επικοινωνίας και αρχείων τιμολόγησης υγείας. Η Ofcom, η ρυθμιστική αρχή επικοινωνιών του Ηνωμένου Βασιλείου, δήλωσε επίσης ότι ορισμένες εμπιστευτικές πληροφορίες είχαν τεθεί σε κίνδυνο κατά τη μαζική παραβίαση του MOVEit. Σε ανακοίνωσή της, η ρυθμιστική αρχή επιβεβαίωσε ότι οι χάκερς απέκτησαν πρόσβαση σε ορισμένα δεδομένα σχετικά με τις εταιρείες που ρυθμίζει, μαζί με τις προσωπικές πληροφορίες 412 υπαλλήλων της Ofcom. Η Transport for London (TfL), ο κυβερνητικός φορέας που είναι υπεύθυνος για τη λειτουργία των υπηρεσιών μεταφορών του Λονδίνου, και η παγκόσμια εταιρεία συμβούλων Ernst and Young, επηρεάστηκαν επίσης, σύμφωνα με το BBC News. 

Πολλά περισσότερα θύματα αναμένεται να αποκαλυφθούν τις επόμενες ημέρες και εβδομάδες, με χιλιάδες διακομιστές MOVEit - οι περισσότεροι από τους οποίους βρίσκονται στις Ηνωμένες Πολιτείες - να μπορούν ακόμη να ανακαλυφθούν στο διαδίκτυο. Οι ερευνητές αναφέρουν επίσης ότι η Clop μπορεί να εκμεταλλευόταν την ευπάθεια του MOVEit ήδη από το 2021. Η αμερικανική εταιρεία παροχής συμβουλών σε θέματα κινδύνου Kroll ανέφερε σε έκθεσή της ότι ενώ η ευπάθεια ήρθε στο φως μόλις στα τέλη Μαΐου, οι ερευνητές της εντόπισαν δραστηριότητα που υποδεικνύει ότι η Clop πειραματιζόταν με τρόπους εκμετάλλευσης της συγκεκριμένης ευπάθειας για σχεδόν δύο χρόνια.

Το εύρημα αυτό καταδεικνύει την εξελιγμένη γνώση και τον σχεδιασμό που απαιτούνται για γεγονότα μαζικής εκμετάλλευσης, όπως η κυβερνοεπίθεση MOVEit Transfer

δήλωσαν οι ερευνητές της Kroll.

Η Clop ήταν επίσης υπεύθυνος για προηγούμενες μαζικές επιθέσεις που εκμεταλλεύτηκαν ελαττώματα στο εργαλείο μεταφοράς αρχείων GoAnywhere της Fortra και στην εφαρμογή μεταφοράς αρχείων της Accellion.

Τουλάχιστον 60.000 εφαρμογές Android μετέφεραν adware τους τελευταίους έξι μήνες, σύμφωνα με την ερευνητική ομάδα κυβερνοασφάλειας Bitdefender. Το adware είναι λογισμικό που συχνά συνοδεύει ένα πρόγραμμα που ο χρήστης κατεβάζει σκόπιμα, όπως μια εφαρμογή, και έχει σχεδιαστεί για να βγάζει χρήματα για τους δημιουργούς του, τρέχοντας διαφημίσεις στο προσκήνιο ή στο παρασκήνιο του smartphone στο οποίο έχει εγκατασταθεί η εφαρμογή. Το διαφημιστικό λογισμικό μπορεί να "στραγγίζει" την μπαταρία ενός smartphone καθώς και να αυξάνει τη θερμοκρασία του.

Οι κακόβουλες εφαρμογές δεν περιλαμβάνονταν στο επίσημο Google Play Store και αντ' αυτού βρέθηκαν σε ιστότοπους καταστημάτων εφαρμογών τρίτων που ανακαλύπτονται μέσω της αναζήτησης Google. Οι εφαρμογές τρίτων μιμούνταν πραγματικές εφαρμογές στα Play Stores, όπως το Netflix, το YouTube/TikTok χωρίς διαφημίσεις, δωρεάν VPN και ψεύτικα προγράμματα ασφαλείας, μεταξύ άλλων. Όταν ένας χρήστης ανοίγει έναν ιστότοπο τρίτου μέρους από μια αναζήτηση στο Google, ανακατευθύνεται σε μια τυχαία σελίδα διαφημίσεων που μεταμφιέζεται ως νόμιμη λήψη της εφαρμογής που ήθελε ο χρήστης, αλλά στην πραγματικότητα εγκαθιστά το adware στη συσκευή. Μόλις ανοίξει η εφαρμογή, εμφανίζει ένα μήνυμα σφάλματος και περιλαμβάνει μια επιλογή απεγκατάστασης, αν και ανεξάρτητα από το αν ο χρήστης πατήσει απεγκατάσταση ή όχι, θα παραμείνει στο παρασκήνιο του τηλεφώνου.

Το κακόβουλο λογισμικό, το οποίο φέρεται να είναι ζωντανό τουλάχιστον από τον Οκτώβριο του 2022, πιθανότατα θα έμενε απαρατήρητο χωρίς τη νέα τεχνολογία ανωμαλίας εφαρμογών της Bitdefender, αναφέρει η εταιρεία κυβερνοασφάλειας. Εν τω μεταξύ, όπως σημειώνει η ExtremeTech, το 55% των μολυσμένων με κακόβουλο λογισμικό εφαρμογών στόχευε ειδικά Αμερικανούς χρήστες, ενώ η Νότια Κορέα, η Βραζιλία και η Γερμανία εκπροσωπούνται επίσης σημαντικά στα ευρήματα της Bitdefender.

Μια λειτουργία στο λογισμικό τεχνητής νοημοσύνης της Nvidia μπορεί να χειραγωγηθεί ώστε να αγνοήσει τους περιορισμούς ασφαλείας και να αποκαλύψει προσωπικές πληροφορίες, σύμφωνα με νέα έρευνα. Η Nvidia δημιούργησε ένα σύστημα που ονομάζεται "NeMo Framework", το οποίο επιτρέπει στους προγραμματιστές να εργάζονται με μια σειρά από μεγάλα γλωσσικά μοντέλα - την υποκείμενη τεχνολογία που τροφοδοτεί τα προϊόντα γεννητικής τεχνητής νοημοσύνης, όπως τα chatbots. Το πλαίσιο έχει σχεδιαστεί για να υιοθετηθεί από επιχειρήσεις, όπως η χρήση των ιδιόκτητων δεδομένων μιας εταιρείας μαζί με γλωσσικά μοντέλα για την παροχή απαντήσεων σε ερωτήσεις - μια λειτουργία που θα μπορούσε, για παράδειγμα, να αναπαράγει το έργο των εκπροσώπων εξυπηρέτησης πελατών ή να συμβουλεύει ανθρώπους που αναζητούν απλές συμβουλές για την υγεία.

Οι ερευνητές της Robust Intelligence με έδρα το Σαν Φρανσίσκο διαπίστωσαν ότι μπορούσαν εύκολα να παραβιάσουν τις λεγόμενες προστατευτικές μπάρες που θεσπίστηκαν για να διασφαλιστεί η ασφαλής χρήση του συστήματος τεχνητής νοημοσύνης. Αφού χρησιμοποίησαν το σύστημα της Nvidia σε δικά της σύνολα δεδομένων, οι αναλυτές της Robust Intelligence χρειάστηκαν μόνο ώρες για να καταφέρουν να κάνουν τα γλωσσικά μοντέλα να ξεπεράσουν τους περιορισμούς. Σε ένα δοκιμαστικό σενάριο, οι ερευνητές έδωσαν εντολή στο σύστημα της Nvidia να αντικαταστήσει το γράμμα "I" με το "J." Αυτή η κίνηση ώθησε την τεχνολογία να απελευθερώσει προσωπικά αναγνωρίσιμες πληροφορίες, ή PII, από μια βάση δεδομένων. Οι ερευνητές διαπίστωσαν ότι μπορούσαν να παρακάμψουν τους ελέγχους ασφαλείας με άλλους τρόπους, όπως το να κάνουν το μοντέλο να παρεκκλίνει με τρόπους που δεν έπρεπε. Αντιγράφοντας το παράδειγμα της Nvidia για μια στενή συζήτηση σχετικά με μια έκθεση για τις θέσεις εργασίας, μπόρεσαν να βάλουν το μοντέλο σε θέματα όπως η υγεία ενός σταρ του Χόλιγουντ και ο γαλλοπρωσικός πόλεμος - παρά τις προστατευτικές μπάρες που έχουν σχεδιαστεί για να εμποδίζουν την τεχνητή νοημοσύνη να κινείται πέρα από συγκεκριμένα θέματα.

Η ευκολία με την οποία οι ερευνητές νίκησαν τις ασφαλιστικές δικλείδες αναδεικνύει τις προκλήσεις που αντιμετωπίζουν οι εταιρείες τεχνητής νοημοσύνης στην προσπάθειά τους να εμπορευματοποιήσουν μια από τις πιο υποσχόμενες τεχνολογίες που έχουν αναδυθεί από τη Silicon Valley εδώ και χρόνια.

"Βλέπουμε ότι πρόκειται για ένα δύσκολο πρόβλημα [που] απαιτεί μια βαθιά τεχνογνωσία", δήλωσε ο Γιάρον Σίνγκερ, καθηγητής πληροφορικής στο Πανεπιστήμιο του Χάρβαρντ και διευθύνων σύμβουλος της Robust Intelligence. "Τα ευρήματα αυτά αποτελούν μια προειδοποιητική ιστορία για τις παγίδες που υπάρχουν".

Στον απόηχο των αποτελεσμάτων των δοκιμών τους, οι ερευνητές συμβούλευσαν τους πελάτες τους να αποφύγουν το προϊόν λογισμικού της Nvidia. Αφού οι Financial Times ζήτησαν από την Nvidia να σχολιάσει την έρευνα νωρίτερα αυτή την εβδομάδα, η κατασκευάστρια εταιρεία ενημέρωσε την Robust Intelligence ότι είχε διορθώσει μία από τις βασικές αιτίες πίσω από τα προβλήματα που είχαν αναφερθεί από τους αναλυτές.

Ο Τζόναθαν Κοέν, αντιπρόεδρος εφαρμοσμένης έρευνας της Nvidia, δήλωσε ότι το πλαίσιό της είναι απλώς ένα "σημείο εκκίνησης για τη δημιουργία AI chatbots που ευθυγραμμίζονται με τις καθορισμένες από τους προγραμματιστές κατευθυντήριες γραμμές για την επικαιρότητα, την ασφάλεια και την ασφάλεια".

"Κυκλοφόρησε ως λογισμικό ανοικτού κώδικα για να εξερευνήσει η κοινότητα τις δυνατότητές του, να παράσχει ανατροφοδότηση και να συνεισφέρει νέες τεχνικές τελευταίας τεχνολογίας", δήλωσε, προσθέτοντας ότι η εργασία της Robust Intelligence "προσδιόρισε πρόσθετα βήματα που θα χρειάζονταν για την ανάπτυξη μιας εφαρμογής παραγωγής".

Αρνήθηκε να πει πόσες επιχειρήσεις χρησιμοποιούν το προϊόν, αλλά δήλωσε ότι η εταιρεία δεν έχει λάβει άλλες αναφορές για κακή συμπεριφορά του.

Κορυφαίες εταιρείες τεχνητής νοημοσύνης, όπως η Google και η OpenAI που υποστηρίζεται από τη Microsoft, έχουν κυκλοφορήσει chatbots που λειτουργούν με τα δικά τους γλωσσικά μοντέλα, θεσπίζοντας προστατευτικές μπάρες για να διασφαλίσουν ότι τα προϊόντα τεχνητής νοημοσύνης τους αποφεύγουν να χρησιμοποιούν ρατσιστική ομιλία ή να υιοθετούν μια κυριαρχική προσωπικότητα.

Άλλες εταιρείες ακολούθησαν με ειδικά σχεδιασμένα αλλά πειραματικά ΤΝ που διδάσκουν νέους μαθητές, δίνουν απλές ιατρικές συμβουλές, μεταφράζουν μεταξύ γλωσσών και γράφουν κώδικα. Σχεδόν όλα έχουν υποστεί προβλήματα ασφαλείας. Η Nvidia και άλλοι στον κλάδο της τεχνητής νοημοσύνης πρέπει να "χτίσουν πραγματικά την εμπιστοσύνη του κοινού στην τεχνολογία", δήλωσε η Bea Longworth, επικεφαλής κυβερνητικών υποθέσεων της εταιρείας στην Ευρώπη, τη Μέση Ανατολή και την Αφρική, σε συνέδριο της ομάδας λόμπι του κλάδου TechUK αυτή την εβδομάδα. Πρέπει να δώσουν στο κοινό την αίσθηση ότι "πρόκειται για κάτι που έχει τεράστιες δυνατότητες και δεν είναι απλώς μια απειλή ή κάτι που πρέπει να φοβόμαστε", πρόσθεσε η Longworth.

Η Microsoft διερευνά μια συνεχιζόμενη διακοπή λειτουργίας που εμποδίζει τους πελάτες του OneDrive να έχουν πρόσβαση στην υπηρεσία φιλοξενίας αρχείων cloud παγκοσμίως, την ώρα που ένας φορέας απειλής γνωστός ως "Anonymous Sudan" ισχυρίζεται ότι κάνει DDoSing στην υπηρεσία. Οι χρήστες που προσπαθούν να ανοίξουν τον ιστότοπο του OneDrive βλέπουν επί του παρόντος μηνύματα σφάλματος

• "Συγγνώμη, προέκυψε σφάλμα" και "Αυτή η σελίδα δεν λειτουργεί αυτή τη στιγμή".
• "Διερευνούμε ένα πιθανό πρόβλημα και ελέγχουμε για επιπτώσεις στον οργανισμό σας. Θα παράσχουμε ενημέρωση εντός 30 λεπτών", ανέφερε η εταιρεία σε μια ενημέρωση στη σελίδα κατάστασης της υπηρεσίας.
• "Εξετάζουμε την τηλεμετρία του OneDrive που καταγράφει αυτό το σενάριο επιπτώσεων για να προσδιορίσουμε την πηγή των αποτυχιών πρόσβασης στην υπηρεσία και να αρχίσουμε να προσδιορίζουμε ένα σχέδιο μετριασμού".

Ενώ η εταιρεία δεν έδωσε λεπτομέρειες σχετικά με το τι προκαλεί τη διακοπή λειτουργίας, το σημερινό περιστατικό ανέλαβαν οι χακτιβιστές που είναι γνωστοί ως "Anonymous Sudan", οι οποίοι ορισμένοι πιστεύουν ότι συνδέονται με τη Ρωσία. Είπαν επίσης ότι έθεσαν εκτός λειτουργίας μια σειρά από υπηρεσίες της Microsoft νωρίτερα αυτή την εβδομάδα σε κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών (DDoS).

Microsoft, νομίζετε ότι σας ξεχάσαμε; Έχουμε κίνητρο να σας δώσουμε στους ψεύτες ένα πολύ καλό μάθημα ειλικρίνειας που κανένας από τους γονείς σας δεν σας δίδαξε ποτέ. Το Onedrive έχει καταρρεύσει. Ας δούμε τώρα τη νέα σας δικαιολογία"

ανέφεραν στη δημόσια ομάδα τους στο Telegram.

Το σημερινό περιστατικό ακολουθεί μια άλλη μακρά διακοπή λειτουργίας στις αρχές της εβδομάδας που επηρέασε πολλές υπηρεσίες και λειτουργίες της Microsoft, όπως το Outlook, το SharePoint Online και το OneDrive for Business. Η διακοπή λειτουργίας ξεκίνησε το βράδυ της Δευτέρας και αντιμετωπίστηκε τελικά τις πρώτες πρωινές ώρες της Τετάρτης, ενώ η διακοπή αυτή δηλώθηκε επίσης από τους Anonymous Sudan ως αποτέλεσμα των επιθέσεων DDoS που πραγματοποίησαν.

Η Microsoft δήλωσε στο BleepingComputer ότι διερευνά τους ισχυρισμούς και λαμβάνει μέτρα για την προστασία των πελατών. "Γνωρίζουμε αυτούς τους ισχυρισμούς και τους διερευνούμε. Λαμβάνουμε τα απαραίτητα μέτρα για την προστασία των πελατών και τη διασφάλιση της σταθερότητας των υπηρεσιών μας", δήλωσε η Microsoft στο BleepingComputer σε δήλωσή της. Σε μια μεταγενέστερη ενημέρωση στη σελίδα κατάστασης της υπηρεσίας, η Microsoft επιβεβαίωσε ότι αυτή η διακοπτόμενη διακοπή επηρεάζει μόνο τον τομέα onedrive.live.com.

Η επηρεαζόμενη διεύθυνση URL του προγράμματος περιήγησης είναι onedrive.live.com. Η πρόσβαση στην υπηρεσία OneDrive μέσω του προγράμματος για επιτραπέζιους υπολογιστές, ενός προγράμματος συγχρονισμού ή των προγραμμάτων του Office δεν επηρεάζεται. Συνεχίζουμε να αναλύουμε την τηλεμετρία παρακολούθησης και να εκτελούμε διαδικασίες εξισορρόπησης φορτίου για την παροχή λύσης

Οι κωδικοί πρόσβασης έχουν αρχίσει και ξεπερνιόνται από την τρέχουσα τεχνολογική εξέλιξη. Όσοι ενδιαφέρονται σοβαρά για την ασφάλεια μετακινούνται προς το Zero Trust Security ή άλλα συστήματα διαχείρισης ταυτότητας και πρόσβασης (IAM) χωρίς κωδικούς πρόσβασης. Τώρα, η Bitwarden, η εταιρία διαχείρισης κωδικών πρόσβασης ανοιχτού κώδικα με το ίδιο όνομα, έχει ξεκινήσει επίσημα το Bitwarden Passwordless. dev. Πρόκειται για μια ολοκληρωμένη εργαλειοθήκη για προγραμματιστές για την ενσωμάτωση κωδικών πρόσβασης με βάση το FIDO2 WebAuthn σε ιστότοπους καταναλωτών και εταιρικές εφαρμογές. 

Η εταιρία πιστεύει ότι η στιγμή είναι κατάλληλη για το Bitwarden να επεκταθεί πέρα από τον κορυφαίο διαχειριστή κωδικών πρόσβασης που διαθέτει. Η τεχνολογία χωρίς κωδικό πρόσβασης κερδίζει έδαφος. Μια έρευνα της Bitwarden διαπίστωσε ότι το 56% των ατόμων είναι ενθουσιασμένοι με την τεχνολογία χωρίς κωδικούς πρόσβασης. Αυτό ισχύει μιας και οι παραβιάσεις κωδικών πρόσβασης αυξάνονται συνεχώς με τη πάροδο του χρόνου. Αυτό αποδεικνύεται από το πλήθος των καταχωρήσεων στο δικτυακό τόπο haveibeenpwned.com

Τα σχέδια για σύνδεση χωρίς κωδικό πρόσβασης είναι ένας από αυτούς, το οποίο δεν είναι τόσο απλό να εφαρμοστεί. Οι περισσότεροι οργανισμοί δεν έχουν ακόμη υιοθετήσει αυτή την τεχνολογία. Περίπου οι μισοί από τους υπεύθυνους λήψης αποφάσεων στον τομέα της πληροφορικής αναφέρουν ως κύριο λόγο την έλλειψη σχεδιασμού χωρίς κωδικό πρόσβασης στις εφαρμογές που χρησιμοποιούν.

Σε αυτό το σημείο έρχεται στο προσκήνιο το Bitwarden. Η τελευταία της προσφορά στοχεύει να γεφυρώσει αυτό το κενό. Τα passkeys όχι μόνο εξαλείφουν την ανάγκη για κωδικούς πρόσβασης, ονόματα χρήστη και έλεγχο ταυτότητας δύο παραγόντων (2FA), αλλά ενισχύουν επίσης την ασφάλεια των χρηστών, μειώνοντας τον κίνδυνο επιθέσεων phishing.

Το Bitwarden Passwordless.dev χρησιμοποιεί μια εύχρηστη διεπαφή προγραμματισμού εφαρμογών (API) για να παρέχει μια απλουστευμένη προσέγγιση για την εφαρμογή του ελέγχου ταυτότητας με βάση τα κλειδιά πρόσβασης με τον υπάρχοντα κώδικά σας. Αυτό επιτρέπει στους προγραμματιστές να δημιουργούν απρόσκοπτες εμπειρίες ελέγχου ταυτότητας γρήγορα και αποτελεσματικά. Για παράδειγμα, μπορείτε να το χρησιμοποιήσετε για την ενσωμάτωση με εφαρμογές FIDO2 WebAuthn, όπως Face ID, δακτυλικό αποτύπωμα και Windows Hello.

Οι επιχειρήσεις αντιμετωπίζουν επίσης προκλήσεις κατά την ενσωμάτωση του ελέγχου ταυτότητας με βάση το κλειδί πρόσβασης στις υπάρχουσες εφαρμογές τους. Ένας άλλος τρόπος με τον οποίο το Bitwarden Passwordless.dev αντιμετωπίζει αυτό το ζήτημα είναι η ενσωμάτωση μιας κονσόλας διαχειριστή. Αυτό επιτρέπει στους προγραμματιστές να ρυθμίζουν τις εφαρμογές, να διαχειρίζονται τα χαρακτηριστικά των χρηστών, να παρακολουθούν τη χρήση του passkey, να αναπτύσσουν κώδικα και να ξεκινούν αμέσως.

"Ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης κερδίζει γρήγορα τη δημοτικότητά του λόγω της ενισχυμένης ασφάλειας και της βελτιωμένης εμπειρίας σύνδεσης των χρηστών", δήλωσε ο Michael Crandell, CEO της Bitwarden. "Το Bitwarden εξοπλίζει τους προγραμματιστές με τα απαραίτητα εργαλεία και την ευελιξία για να εφαρμόσουν ταχέως και αβίαστα τον έλεγχο ταυτότητας με βάση το passkey, βελτιώνοντας έτσι την εμπειρία των χρηστών, διατηρώντας παράλληλα τα βέλτιστα επίπεδα ασφάλειας".

Η Lundatech AB, πελάτης της Bitwarden και πάροχος επιχειρηματικού cloud, χρησιμοποιεί ήδη το Bitwarden Passwordlessdev για να βελτιώσει την εγγραφή και τη σύνδεση των υπαλλήλων και των πελατών της. Είναι ευχαριστημένοι με αυτό. Ο Henrik Doverhill, CTO και ιδρυτής της Lundatech δήλωσε

Το πελατολόγιό μας περιλαμβάνει προμηθευτές λογισμικού, μεγάλες ιδιωτικές εταιρείες και κυβερνητικούς οργανισμούς, οι οποίοι έχουν αυστηρές απαιτήσεις ασφάλειας και αξιοπιστίας. Στόχος μας ήταν να τους παρέχουμε ανώτερη ασφάλεια και μια σύγχρονη, βελτιωμένη εμπειρία αυθεντικοποίησης. Το Bitwarden Passwordless.dev μείωσε σημαντικά τη διαδικασία ανάπτυξής μας - είχαμε τον έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης λειτουργικό μέσα σε μία ώρα

Κοιτάζοντας μπροστά, η Bitwarden παρουσίασε επίσης πρόσφατα την ανοιχτή beta έκδοση του Bitwarden Secrets Manager. Αυτό έχει σχεδιαστεί για την ασφαλή διαχείριση ευαίσθητων διαπιστευτηρίων ελέγχου ταυτότητας εντός των προνομιακών περιβαλλόντων προγραμματιστών και DevOps.

Μια κινεζική κυβερνητική ομάδα hacking έχει αποκτήσει σημαντική θέση μέσα σε περιβάλλοντα υποδομών ζωτικής σημασίας σε όλες τις ΗΠΑ και το Γκουάμ και κλέβει διαπιστευτήρια δικτύου και ευαίσθητα δεδομένα, ενώ παραμένει σε μεγάλο βαθμό απαρατήρητη, δήλωσαν την Τετάρτη η Microsoft και κυβερνήσεις από τις ΗΠΑ και άλλες τέσσερις χώρες.

Η ομάδα, η οποία εντοπίζεται από τη Microsoft με το όνομα Volt Typhoon, δραστηριοποιείται εδώ και τουλάχιστον δύο χρόνια με επίκεντρο την κατασκοπεία και τη συλλογή πληροφοριών για τη Λαϊκή Δημοκρατία της Κίνας, δήλωσε η Microsoft. Για να παραμείνουν απαρατήρητοι, οι χάκερ χρησιμοποιούν εργαλεία που είναι ήδη εγκατεστημένα ή ενσωματωμένα σε μολυσμένες συσκευές που ελέγχονται χειροκίνητα από τους επιτιθέμενους αντί να αυτοματοποιούνται, μια τεχνική γνωστή ως "living off the land". Εκτός από την αποκάλυψη από τη Microsoft, η εκστρατεία καταγράφηκε επίσης σε μια συμβουλευτική που δημοσιεύθηκε από κοινού από:

• Αμερικανικό Οργανισμό Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA)
• Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI)
• Αυστραλιανό Κέντρο Κυβερνοασφάλειας (ACSC)
• Καναδικό Κέντρο για την Ασφάλεια στον Κυβερνοχώρο (CCCS)
• Εθνικό κέντρο ασφάλειας στον κυβερνοχώρο της Νέας Ζηλανδίας (NCSC-NZ)
• Εθνικό κέντρο ασφάλειας στον κυβερνοχώρο του Ηνωμένου Βασιλείου (NCSC-UK)

Εκτός από την τεχνική του "living-off-the-land", οι χάκερς συγκάλυψαν περαιτέρω τη δραστηριότητά τους χρησιμοποιώντας παραβιασμένους routers για το σπίτι και μικρά γραφεία ως ενδιάμεση υποδομή που επιτρέπει στις επικοινωνίες με τους μολυσμένους υπολογιστές να προέρχονται από ISP που είναι τοπικοί στη γεωγραφική περιοχή. Στη συμβουλευτική της Microsoft, οι ερευνητές έγραψαν:

Για την επίτευξη του στόχου τους, ο φορέας της απειλής δίνει μεγάλη έμφαση στη μυστικότητα σε αυτή την εκστρατεία, βασιζόμενος σχεδόν αποκλειστικά σε τεχνικές "living-off-the-land" και σε "χειροκίνητες" δραστηριότητες. Εκτελούν εντολές μέσω της γραμμής εντολών για να (1) συλλέξουν δεδομένα, συμπεριλαμβανομένων των διαπιστευτηρίων από τοπικά συστήματα και συστήματα δικτύου, (2) να τοποθετήσουν τα δεδομένα σε ένα αρχείο αρχειοθέτησης για να τα προετοιμάσουν για την απομόνωση και στη συνέχεια (3) να χρησιμοποιήσουν τα κλεμμένα έγκυρα διαπιστευτήρια για να διατηρήσουν τη διατήρηση. Επιπλέον, το γκρούπ Volt Typhoon προσπαθεί να ενσωματωθεί στην κανονική δραστηριότητα του δικτύου, δρομολογώντας την κυκλοφορία μέσω παραβιασμένου εξοπλισμού δικτύου μικρών γραφείων και οικιακών γραφείων (SOHO), συμπεριλαμβανομένων δρομολογητών, τειχών προστασίας και υλικού VPN. Έχει επίσης παρατηρηθεί ότι χρησιμοποιούν προσαρμοσμένες εκδόσεις εργαλείων ανοιχτού κώδικα για να δημιουργήσουν ένα κανάλι διοίκησης και ελέγχου (C2) μέσω διακομιστή μεσολάβησης για να παραμείνουν περαιτέρω κάτω από το ραντάρ.

Οι ερευνητές της Microsoft δήλωσαν ότι η εκστρατεία είναι πιθανότατα σχεδιασμένη για την ανάπτυξη δυνατοτήτων για τη "διατάραξη κρίσιμων υποδομών επικοινωνίας μεταξύ των Ηνωμένων Πολιτειών και της περιοχής της Ασίας κατά τη διάρκεια μελλοντικών κρίσεων". Το Γκουάμ είναι σημαντικό για τον αμερικανικό στρατό λόγω των λιμανιών του στον Ειρηνικό και της αεροπορικής βάσης που παρέχει. Καθώς οι εντάσεις σχετικά με την Ταϊβάν έχουν υποχωρήσει, η στρατηγική σημασία του Γκουάμ έχει γίνει κεντρικό θέμα.

Το αρχικό σημείο εισόδου για τις παραβιάσεις του Volt Typhoon είναι μέσω των συσκευών Fortinet FortiGuard που έχουν πρόσβαση στο Διαδίκτυο, οι οποίες τα τελευταία χρόνια έχουν αποδειχθεί σημαντικό προγεφύρωμα για τη μόλυνση δικτύων. Εκμεταλλευόμενοι ευπάθειες στις συσκευές FortiGuard που οι διαχειριστές έχουν αμελήσει να επιδιορθώσουν, οι χάκερς αποσπούν διαπιστευτήρια για το Active Directory ενός δικτύου, το οποίο αποθηκεύει ονόματα χρηστών, password hashes και άλλες ευαίσθητες πληροφορίες για όλους τους άλλους λογαριασμούς. Στη συνέχεια, οι χάκερ χρησιμοποιούν αυτά τα δεδομένα για να μολύνουν άλλες συσκευές στο δίκτυο. Ερευνητές της Microsoft έγραψαν ότι:

Το Volt Typhoon μεταβιβάζει μεσολάβηση όλη την κυκλοφορία του δικτύου του στους στόχους του μέσω παραβιασμένων συσκευών άκρου δικτύου SOHO (συμπεριλαμβανομένων των δρομολογητών). Η Microsoft έχει επιβεβαιώσει ότι πολλές από τις συσκευές, στις οποίες περιλαμβάνονται αυτές που κατασκευάζονται από τις ASUS, Cisco, D-Link, NETGEAR και Zyxel, επιτρέπουν στον ιδιοκτήτη να εκθέσει διεπαφές διαχείρισης HTTP ή SSH στο Διαδίκτυο

Μεταξύ των κλάδων που επηρεάζονται, είναι οι επικοινωνίες, η μεταποίηση, οι υπηρεσίες κοινής ωφέλειας, οι μεταφορές, οι κατασκευές, η ναυτιλία, η κυβέρνηση, η τεχνολογία των πληροφοριών και η εκπαίδευση. 

Οι υπηρεσίες cloud της Microsoft σαρώνουν για κακόβουλο λογισμικό "κρυφοκοιτάζοντας" μέσα στα αρχεία zip των χρηστών, ακόμη και όταν αυτά προστατεύονται με κωδικό πρόσβασης, ανέφεραν αρκετοί χρήστες στο Mastodon τη Δευτέρα. Η συμπίεση των περιεχομένων αρχείων σε κρυπτογραφημένα αρχεία zip είναι εδώ και καιρό μια τακτική που χρησιμοποιούν οι κακόβουλοι φορείς για να αποκρύψουν κακόβουλο λογισμικό που εξαπλώνεται μέσω ηλεκτρονικού ταχυδρομείου ή απευθείας λήψεων. Τελικά, ορισμένοι φορείς απειλών προσαρμόστηκαν προστατεύοντας τα κακόβουλα αρχεία zip με έναν κωδικό πρόσβασης που πρέπει να πληκτρολογήσει ο τελικός χρήστης κατά τη μετατροπή του αρχείου πίσω στην αρχική του μορφή. Η Microsoft ξεπερνάει αυτή την κίνηση επιχειρώντας να παρακάμψει την προστασία με κωδικό πρόσβασης σε αρχεία zip και, όταν είναι επιτυχής, τα σαρώνει για κακόβουλο κώδικα.

Ενώ η ανάλυση των αρχείων που προστατεύονται με κωδικό πρόσβασης σε περιβάλλοντα cloud της Microsoft είναι γνωστή σε ορισμένους, αποτέλεσε έκπληξη για τον Andrew Brandt. Ο ερευνητής ασφάλειας αρχειοθετεί εδώ και καιρό κακόβουλο λογισμικό μέσα σε αρχεία zip που προστατεύονται με κωδικό πρόσβασης πριν τα ανταλλάξει με άλλους ερευνητές μέσω του SharePoint. Τη Δευτέρα, πήρε το Mastodon για να αναφέρει ότι το εργαλείο συνεργασίας της Microsoft είχε πρόσφατα επισημάνει ένα αρχείο zip, το οποίο είχε προστατευτεί με τον κωδικό πρόσβασης "μολυσμένο".

Ενώ καταλαβαίνω απόλυτα να το κάνει αυτό οποιοσδήποτε άλλος εκτός από έναν αναλυτή κακόβουλου λογισμικού, αυτό το είδος του αδιάκριτου, μπαίνω μέσα στην επιχείρησή σας τρόπου χειρισμού πρόκειται να γίνει μεγάλο πρόβλημα για ανθρώπους σαν εμένα που πρέπει να στείλουν στους συναδέλφους τους δείγματα κακόβουλου λογισμικού. Ο διαθέσιμος χώρος για να γίνει αυτό συνεχίζει να συρρικνώνεται και αυτό θα επηρεάσει την ικανότητα των ερευνητών κακόβουλου λογισμικού να κάνουν τη δουλειά τους
- Andrew Brandt

Ο συνάδελφος ερευνητής Kevin Beaumont συμμετείχε στη συζήτηση για να πει ότι η Microsoft διαθέτει πολλαπλές μεθόδους για τη σάρωση του περιεχομένου των προστατευμένων με κωδικό πρόσβασης αρχείων zip και τις χρησιμοποιεί όχι μόνο σε αρχεία που είναι αποθηκευμένα στο SharePoint αλλά σε όλες τις υπηρεσίες cloud 365. Ένας τρόπος είναι να εξάγονται τυχόν κωδικοί πρόσβασης από τα σώματα ενός email ή από το όνομα του ίδιου του αρχείου. Ένας άλλος τρόπος είναι να ελέγξετε το αρχείο για να δείτε αν προστατεύεται με έναν από τους κωδικούς πρόσβασης που περιέχονται σε μια λίστα.

Αν στείλετε στον εαυτό σας κάτι και πληκτρολογήσετε κάτι σαν 'ZIP password is Soph0s', κάνετε ZIP up το EICAR και ZIP password με το Soph0s, θα βρει (τον) κωδικό πρόσβασης, θα εξάγει και θα βρει (και θα τροφοδοτήσει την ανίχνευση της MS)
- Kevin Beaumont

Ο Brandt δήλωσε ότι πέρυσι το OneDrive της Microsoft άρχισε να δημιουργεί αντίγραφα ασφαλείας κακόβουλων αρχείων που είχε αποθηκεύσει σε έναν από τους φακέλους του στα Windows, αφού δημιούργησε μια εξαίρεση (δηλαδή, επέτρεψε την καταχώριση) στα εργαλεία ασφαλείας του τελικού σημείου. Αργότερα ανακάλυψε ότι μόλις τα αρχεία έφτασαν στο OneDrive, σβήστηκαν από τον σκληρό δίσκο του φορητού υπολογιστή του και ανιχνεύθηκαν ως κακόβουλο λογισμικό στον λογαριασμό του στο OneDrive. Σαν αποτέλεσμα ήταν να χάσει όλα τα αρχεία αυτά. Στη συνέχεια, ο Brandt άρχισε να αρχειοθετεί τα κακόβουλα αρχεία σε αρχεία zip που προστατεύονταν με τον κωδικό πρόσβασης "infected". Μέχρι την περασμένη εβδομάδα, είπε, το SharePoint δεν σημείωνε τα αρχεία. Τώρα το κάνει.

Εκπρόσωποι της Microsoft επιβεβαίωσαν τη λήψη ενός email που ρωτούσε για τις πρακτικές παράκαμψης της προστασίας με κωδικό πρόσβασης των αρχείων που αποθηκεύονται στις υπηρεσίες cloud της. Η εταιρεία δεν ακολούθησε απάντηση. Εκπρόσωπος της Google δήλωσε ότι η εταιρεία δεν σαρώνει αρχεία zip που προστατεύονται με κωδικό πρόσβασης, αν και το Gmail τα επισημαίνει όταν οι χρήστες λαμβάνουν ένα τέτοιο αρχείο. Ο λογαριασμός εργασίας μου που διαχειρίζεται το Google Workspace με εμπόδισε επίσης να στείλω ένα αρχείο zip που προστατεύεται με κωδικό πρόσβασης.

Η πρακτική αυτή καταδεικνύει τη λεπτή γραμμή που συχνά ακολουθούν οι διαδικτυακές υπηρεσίες όταν προσπαθούν να προστατεύσουν τους τελικούς χρήστες από κοινές απειλές, σεβόμενοι παράλληλα την ιδιωτική ζωή. Όπως σημειώνει ο Brandt, το ενεργό σπάσιμο ενός αρχείου zip που προστατεύεται με κωδικό πρόσβασης μοιάζει επεμβατικό. Ταυτόχρονα, η πρακτική αυτή έχει σχεδόν σίγουρα αποτρέψει μεγάλο αριθμό χρηστών από το να πέσουν θύματα επιθέσεων κοινωνικής μηχανικής που επιχειρούν να μολύνουν τους υπολογιστές τους.

Ένα άλλο πράγμα που πρέπει να θυμούνται οι αναγνώστες: τα αρχεία zip που προστατεύονται με κωδικό πρόσβασης παρέχουν ελάχιστη διασφάλιση ότι το περιεχόμενο μέσα στα αρχεία δεν μπορεί να διαβαστεί. Όπως σημείωσε ο Beaumont, το ZipCrypto, το προεπιλεγμένο μέσο για την κρυπτογράφηση αρχείων zip στα Windows, είναι τετριμμένο να παρακαμφθεί. Ένας πιο αξιόπιστος τρόπος είναι η χρήση μιας κρυπτογράφησης AES-256 που είναι ενσωματωμένη σε πολλά προγράμματα αρχειοθέτησης κατά τη δημιουργία αρχείων 7z.

Σύμφωνα με ερευνητές της Trend Micro στο Black Hat Asia, κακόβουλοι παράγοντες έχουν μολύνει εκατομμύρια Androids παγκοσμίως με κακόβουλο firmware πριν καν αποσταλούν οι συσκευές από τα εργοστάσιά τους. Αυτό το υλικό είναι κυρίως φτηνές κινητές συσκευές Android, αν και smartwatches, τηλεοράσεις και άλλα πράγματα έχουν παγιδευτεί σε αυτό.

Η κατασκευή των gadgets έχει ανατεθεί σε έναν κατασκευαστή αρχικού εξοπλισμού (OEM). Αυτή η εξωτερική ανάθεση καθιστά δυνατό για κάποιον στον κατασκευαστική αλυσίδα -όπως έναν προμηθευτή firmware- να μολύνει τα προϊόντα με κακόβουλο κώδικα καθώς αυτά αποστέλλονται, δήλωσαν οι ερευνητές. Αυτό συμβαίνει εδώ και καιρό, με αναφορές να καταγράφονται από το 2017. Πηγές από την Trend Micro, χαρακτήρισαν την απειλή σήμερα ως "ένα αυξανόμενο πρόβλημα για τους απλούς χρήστες και τις επιχειρήσεις". 

Ποιος είναι ο ευκολότερος τρόπος για να μολυνθούν εκατομμύρια συσκευές;

διερωτήθηκε ο ανώτερος ερευνητής της Trend Micro Fyodor Yarochkin, μιλώντας μαζί με τον συνάδελφο Zhengyu Dong στο συνέδριο στη Σιγκαπούρη. Ο Yarochkin παρομοίασε τη διείσδυση σε συσκευές σε ένα τόσο πρώιμο στάδιο του κύκλου ζωής τους με ένα δέντρο που απορροφά υγρό: εισάγετε τη μόλυνση στη ρίζα και αυτή διανέμεται παντού, σε κάθε κλαδί και φύλλο. Αυτή η εισαγωγή κακόβουλου λογισμικού ξεκίνησε καθώς έπεσε η τιμή του firmware των κινητών τηλεφώνων, όπως μας είπαν. Ο ανταγωνισμός μεταξύ των διανομέων firmware έγινε τόσο λυσσαλέος που τελικά οι πάροχοι δεν μπορούσαν να χρεώσουν χρήματα που αξίζει το προϊόν τους.

Αλλά φυσικά δεν υπάρχουν δωρεάν πράγματα

, δήλωσε ο Yarochkin, ο οποίος εξήγησε ότι, ως αποτέλεσμα αυτής της κατάστασης εκβιασμού, το firmware άρχισε να διατίθεται με ένα ανεπιθύμητο χαρακτηριστικό - τα σιωπηλά plugins. Η ομάδα ανέλυσε δεκάδες εικόνες firmware αναζητώντας κακόβουλο λογισμικό. Βρήκαν πάνω από 80 διαφορετικά plugins, αν και πολλά από αυτά δεν ήταν ευρέως διαδεδομένα. Τα plugins που είχαν τον μεγαλύτερο αντίκτυπο ήταν εκείνα που είχαν ένα επιχειρηματικό μοντέλο χτισμένο γύρω από αυτά, πωλούνταν κρυφά και διακινούνταν ανοιχτά σε μέρη όπως το Facebook, τα blogs και το YouTube. Ο στόχος του κακόβουλου λογισμικού είναι να κλέψει πληροφορίες ή να βγάλει χρήματα από τις πληροφορίες που συλλέγονται ή παραδίδονται. Το κακόβουλο λογισμικό μετατρέπει τις συσκευές σε proxies τα οποία χρησιμοποιούνται για την κλοπή και την πώληση μηνυμάτων SMS, την κατάληψη λογαριασμών κοινωνικής δικτύωσης και διαδικτυακών μηνυμάτων και χρησιμοποιούνται ως ευκαιρίες κερδοφορίας μέσω διαφημίσεων και απάτης με κλικ.

Ένας τύπος πρόσθετου, τα proxy plugins, επιτρέπουν στον εγκληματία να νοικιάζει συσκευές για έως και περίπου πέντε λεπτά κάθε φορά. Για παράδειγμα, όσοι νοικιάζουν τον έλεγχο της συσκευής θα μπορούσαν να αποκτήσουν δεδομένα σχετικά με τις πληκτρολογήσεις, τη γεωγραφική θέση, τη διεύθυνση IP και πολλά άλλα. "Ο χρήστης του proxy θα μπορεί να χρησιμοποιήσει το τηλέφωνο κάποιου άλλου για μια περίοδο 1200 δευτερολέπτων ως κόμβο εξόδου", δήλωσε ο Yarochkin. Είπε επίσης ότι η ομάδα βρήκε ένα πρόσθετο cookie του Facebook που χρησιμοποιήθηκε για τη συλλογή δραστηριότητας από την εφαρμογή του Facebook.

Μέσω των δεδομένων τηλεμετρίας, οι ερευνητές εκτίμησαν ότι υπάρχουν τουλάχιστον εκατομμύρια μολυσμένες συσκευές σε παγκόσμιο επίπεδο, αλλά έχουν συγκεντρωθεί στη Νοτιοανατολική Ασία και την Ανατολική Ευρώπη. Μια στατιστική που αυτοαναφέρθηκε από τους ίδιους τους εγκληματίες, δήλωσαν οι ερευνητές, ήταν περίπου 8,9 εκατομμύρια. Όσον αφορά το από πού προέρχονται οι απειλές, το δίδυμο δεν θα έλεγε συγκεκριμένα, αν και η λέξη "Κίνα" εμφανίστηκε πολλές φορές στην παρουσίαση, συμπεριλαμβανομένης μιας ιστορίας που σχετίζεται με την ανάπτυξη του ύποπτου firmware. Ο Yarochkin δήλωσε ότι το ακροατήριο θα πρέπει να αναλογιστεί πού βρίσκονται οι περισσότεροι κατασκευαστές ΟΕΜ στον κόσμο και να βγάλει τα δικά του συμπεράσματα.

Ακόμα κι αν πιθανόν να γνωρίζουμε τους ανθρώπους που δημιουργούν την υποδομή για αυτή την επιχείρηση, είναι δύσκολο να εντοπίσουμε πώς ακριβώς η μόλυνση αυτή τοποθετείται σε αυτό το κινητό τηλέφωνο, επειδή δεν γνωρίζουμε με βεβαιότητα ποια στιγμή μπήκε στην αλυσίδα εφοδιασμού

Η ομάδα επιβεβαίωσε ότι το κακόβουλο λογισμικό εντοπίστηκε στα τηλέφωνα τουλάχιστον 10 προμηθευτών, αλλά ότι πιθανόν να έχουν επηρεαστεί περίπου 40 ακόμη. Για όσους επιδιώκουν να αποφύγουν τα μολυσμένα κινητά τηλέφωνα, θα μπορούσαν να προστατευτούν κάπως με την αγορά υψηλών προδιαγραφών. Δηλαδή, θα βρείτε αυτού του είδους το κακό firmware στο φθηνότερο άκρο του οικοσυστήματος Android, και το να επιμείνετε σε μεγαλύτερες μάρκες είναι μια καλή ιδέα, αν και δεν αποτελεί απαραίτητα εγγύηση ασφάλειας. "Οι μεγάλες μάρκες όπως η Samsung, όπως η Google φρόντισαν σχετικά καλά για την ασφάλεια της εφοδιαστικής τους αλυσίδας, αλλά για τους φορείς απειλών, αυτή εξακολουθεί να είναι μια πολύ προσοδοφόρα αγορά", δήλωσε ο Yarochkin.

Η T-Mobile ανακοίνωσε ότι υπέστη παραβίαση των συστημάτων ασφαλείας, η οποία είχε σαν αποτέλεσμα την έκθεση σε κακόβουλους τρίτους τους κωδικούς PIN λογαριασμών και άλλα δεδομένα πελατών, στη δεύτερη εισβολή στο δίκτυο της εταιρείας φέτος και την ένατη από το 2018. Η παραβίαση αυτή, ξεκίνησε στις 24 Φεβρουαρίου και διήρκεσε έως τις 30 Μαρτίου, επηρέασε 836 πελάτες, σύμφωνα με κοινοποίηση στον ιστότοπο του Γενικού Εισαγγελέα του Μέιν Άαρον Φρέι.

"Οι πληροφορίες που ελήφθησαν για κάθε πελάτη ποικίλλουν, αλλά μπορεί να περιλάμβαναν το πλήρες όνομα, στοιχεία επικοινωνίας, τον αριθμό λογαριασμού και τους σχετικούς αριθμούς τηλεφώνου, τον κωδικό PIN του λογαριασμού T-Mobile, τον αριθμό κοινωνικής ασφάλισης, την κυβερνητική ταυτότητα, την ημερομηνία γέννησης, το οφειλόμενο υπόλοιπο, εσωτερικούς κωδικούς που χρησιμοποιεί η T-Mobile για την εξυπηρέτηση των λογαριασμών των πελατών (για παράδειγμα, κωδικούς τιμολογίου και χαρακτηριστικών) και τον αριθμό των γραμμών", έγραψε η εταιρεία σε επιστολή που απέστειλε στους επηρεαζόμενους πελάτες. Οι κωδικοί PIN των λογαριασμών, τους οποίους οι πελάτες χρησιμοποιούν για να αλλάζουν κάρτες SIM και να εξουσιοδοτούν άλλες σημαντικές αλλαγές στους λογαριασμούς τους, μηδενίστηκαν μόλις η T-Mobile ανακάλυψε την παραβίαση στις 27 Μαρτίου.

Το περιστατικό είναι το δεύτερο hack που πλήττει την T-Mobile φέτος. Είναι το ένατο από το 2018, με βάση την αναφορά του TechCrunch. Τον Ιανουάριο, η T-Mobile δήλωσε ότι "κακόβουλοι παράγοντες" έκαναν κατάχρηση του προγραμματισμού εφαρμογών της με τρόπο που τους επέτρεψε να αποκτήσουν πρόσβαση στα δεδομένα 37 εκατομμυρίων πελατών. Το hack ξεκίνησε στις 25 Νοεμβρίου 2022 και δεν ανακαλύφθηκε από την T-Mobile μέχρι τις 5 Ιανουαρίου, ανέφερε το TechCrunch. Τα δεδομένα που αποκτήθηκαν σε αυτό το περιστατικό περιλάμβαναν ονόματα, διευθύνσεις χρέωσης, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου, ημερομηνίες γέννησης, αριθμούς λογαριασμών της T-Mobile και πληροφορίες όπως ο αριθμός των γραμμών στους λογαριασμούς και τα χαρακτηριστικά του προγράμματος. Από το 2018 έως το 2022, η T-Mobile αποκάλυψε άλλες επτά παραβιάσεις. Στην πιο πρόσφατη από αυτές, που αναφέρθηκε τον Απρίλιο του 2022, μια συμμορία χάκερ που ακούει στο όνομα Lapsus$ απέκτησε πρόσβαση στα εσωτερικά εργαλεία της εταιρείας και, από εκεί, πραγματοποίησε τις λεγόμενες ανταλλαγές SIM, ένα είδος hack που επιτρέπει σε μη εξουσιοδοτημένα άτομα να μεταφέρουν τον αριθμό τηλεφώνου κάποιου στο τηλέφωνο του δράστη της απειλής.

Άλλες παραβιάσεις δεδομένων περιλαμβάνουν μια παραβίαση το 2021 που εξέθεσε δεδομένα που ανήκαν σε 49 εκατομμύρια πελάτες.